掲載:2018年08月20日
 ----------

★ 皆さん、一応下までお読みください!!!。

★ 対策方法
アップデートする
Android OS やインストールされているアプリを、Google Play や Apple Store からアップデートしてください。

★ android端末は、日本向けに出荷されている Asus ZenFone 3 (ZE552KL) が脆弱性を含む端末として取り上げられています。ご自分でインストールされたアプリに対する脆弱性は記事をご覧下さい。

・ASUSサポートを確認しましたが、ASUS製品セキュリティアドバイザリーには未だ報告が有りません。
 https://www.asus.com/jp/Static_WebPage/ASUS-Product-Security-Advisory/

★ iOSはプリインストールアプリでは有りません。ご自分でインストールされたアプリに対する脆弱性です。詳細は記事をご覧下さい。

 ----------


※ プリインストールを含む複数のAndroidおよびiOSアプリに、複数の脆弱性(JVN)
 https://news.yahoo.co.jp/pickup/6294021
 https://scan.netsecurity.ne.jp/article/2018/08/20/41296.html
 https://jvn.jp/vu/JVNVU99991021/

 8/20(月) 9:08 掲載

【記事引用】

独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は8月17日、プリインストールされたものを含む複数のAndroidアプリおよびiOSアプリに、複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。これらの脆弱性はKryptowire社により報告され、「DEF CON 26」などで発表している。

多くのAndroid端末にOEMによりプリインストールされている複数のアプリには、不正な証明書検証の脆弱性が存在する。また、複数のAndroidアプリおよびiOSアプリには、暗号鍵がハードコードされている脆弱性や、安全性の低い暗号化技術を使用している脆弱性が存在する。

端末により影響は異なるが、脆弱性を攻撃する悪意のあるアプリをユーザがインストールさせられた場合、遠隔の攻撃者によってSystem権限でコマンドを実行される可能性がある。JVNでは、Android OSやインストールされているアプリを、Google PlayやApple Storeからアップデートするよう呼びかけている。
《吉澤 亨史( Kouji Yoshizawa )》

 ----------
★★★ JPCERT コーディネーションセンター(JPCERT/CC)

公開日:2018/08/17 最終更新日:2018/08/17
JVNVU#99991021
複数の Android アプリおよび iOS アプリに複数の脆弱性
https://jvn.jp/vu/JVNVU99991021/

【記事引用】

概要
複数の Android アプリおよび iOS アプリには複数の脆弱性が存在します。Android アプリについては端末にプリインストールされたものを含みます。
これらの脆弱性は Kryptowire 社により報告されました。プリインストールされた Android アプリの脆弱性については DEF CON 26 において発表され、その他のアプリの脆弱性については、米国国土安全保障省科学技術局 (DHS S&T) および米国サイバーセキュリティ・通信統合センター (NCCIC) により調整されました。

影響を受けるシステム
脆弱性の種類および端末により、影響を受けるシステムは異なります。詳しくは詳細情報を参照してください。


詳細情報
多くの Android 端末には OEM によりプリインストールアプリがインストールされています。複数のプリインストールアプリにはアクセス制限の不備に関する脆弱性が存在しており、サードパーティ製の悪意のあるアプリを介し、システムへのユーザアクセス許可や設定を悪用または回避される可能性があります。
また、複数の Android アプリおよび iOS アプリには、暗号鍵がハードコードされている脆弱性や、安全性の低い暗号化技術を使用している脆弱性が存在しており、攻撃者により権限を昇格される可能性があります。

Kryptowire 社は Android を搭載した複数のスマートフォン端末における、38個の脆弱性に関するホワイトペーパーを公開しました。これらの脆弱性は、OEM によるプリインストールアプリにおいて、不正なユーザアクセス許可やアクセス制限設定が行われていることが原因となっており、ユーザがインストールしたサードパーティ製のアプリを介して悪用される可能性があります。これらのうち 2つの脆弱性は Android Debug Bridge (adb) を介した悪用が可能です。

Kryptowire 社は上記の公開に先立ち、DHS S&T および NCCIC との調整のもとで以下の脆弱性を報告しています。

不正な証明書検証 (CWE-295)
以下のアプリは、証明書を検証しない、あるいは誤った方法で検証しています。そのため攻撃者は不正な証明書あるいは悪意のある証明書を用いて、中間者攻撃を行うことが可能です。結果として、アプリが悪意のあるホストと通信したり、悪意のあるホストからのデータを信頼して受信したりする可能性があります。

Virus Cleaner ( Hi Security ) - Antivirus, Booster バージョン 3.7.1.1329 (Android) - CVE-2017-13105

認証情報がハードコードされている問題 (CWE-798)
以下のアプリには、内部機能における認証や外部コンポーネントとの通信、内部データの暗号化に使用するパスワードや暗号鍵といった情報がハードコードされています。
The Moron Test バージョン 6.3.1 2017年5月4日公開 (iOS) - CVE-2017-13100
musical.ly - your video social network バージョン 6.1.6 2017年10月3日公開 (iOS) - CVE-2017-13101
Asphalt Xtreme: Offroad Rally Racing バージョン 1.6.0 2017年8月13日公開 (iOS) - CVE-2017-13102
Pinterest バージョン 6.37 2017年10月24日公開 (iOS) - CVE-2017-13103
UberEATS: Uber for Food Delivery バージョン 1.108.10001 2017年11月2日公開 (iOS) - CVE-2017-13104
Virus Cleaner ( Hi Security ) - Antivirus, Booster バージョン 3.7.1.1329 2017年9月13日公開 (Android) - CVE-2017-13105
CM Launcher 3D - Theme,wallpaper,Secure,Efficient バージョン 5.0.3 2017年9月19日公開 (Android) - CVE-2017-13106
Live.me - live stream video chat バージョン 3.7.20 2017年11月6日公開 (Android) - CVE-2017-13107
DFNDR Security: Antivirus, Anti-hacking & Cleaner バージョン 5.0.9 2017年11月1日公開 (Android) - CVE-2017-13108

想定される影響
端末により影響は異なりますが、脆弱性を攻撃する悪意のあるアプリをユーザがインストールさせられた場合、遠隔の攻撃者によって System 権限でコマンドを実行される可能性があります。
具体的な影響の内容については Kryptowire 社が公開しているホワイトペーパーを参照してください。

対策方法
アップデートする
Android OS やインストールされているアプリを、Google Play や Apple Store からアップデートしてください。


サードパーティ製のアプリをインストールする際は細心の注意を払う
アプリは正規のサイトからインストールしてください。また、アプリをインストールする際は、そのアプリが本当に必要かどうか検討し、適切に取り扱ってください。

ベンダ情報
参考情報
CERT/CC Vulnerability Note VU#787952
Several Android mobile devices contain multiple vulnerabilities within OEM-pre-installed apps
Kryptowire(Presentation)
Vulnerable Out of the Box: An Evaluation of Android Carrier Devices
Kriptowire (White paper)
Vulnerable Out of the Box: An Evaluation of Android Carrier Devices
Department of Homeland Security Science and Technology Directorate
Securing Mobile Applications for First Responders
Department of Homeland Security Science and Technology Directorate
News Release: DHS S&T Pilot Project Helps Secure First Responder Apps From Cyberattacks

JPCERT/CCからの補足情報
Kryptowire 社のホワイトペーパーでは、日本向けに出荷されている Asus ZenFone 3 (ZE552KL) が脆弱性を含む端末として取り上げられています。影響を受ける端末のリリース日および Build Fingerprint は以下の通りです。



リリース日 Build Fingerprint
2018年5月21日 asus/JP_Phone/ASUS_Z012D:8.0.0/OPR1.170623.026/15.0410.1804.60-0:user/release-keys
2018年4月19日 asus/JP_Phone/ASUS_Z012D:8.0.0/OPR1.170623.026/15.0410.1803.52-0:user/release-keys
2018年1月11日 asus/JP_Phone/ASUS_Z012D:7.0/NRD90M/14.2020.1712.85-20171228:user/release-keys
2017年11月22日 asus/JP_Phone/ASUS_Z012D:7.0/NRD90M/14.2020.1711.75-20171115:user/release-keys
2017年8月8日 asus/JP_Phone/ASUS_Z012D:7.0/NRD90M/14.2020.1708.56-20170719:user/release-keys
2017年5月17日 asus/JP_Phone/ASUS_Z012D:7.0/NRD90M/14.2020.1703.33-20170424:user/release-keys
2017年2月24日 asus/JP_Phone/ASUS_Z012D:6.0.1/MMB29P/13.2010.1612.161-20170205:user/release-keys
JPCERT/CCによる脆弱性分析結果
CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.5
CVSS v2 AV:N/AC:H/Au:N/C:C/I:C/A:C 基本値: 7.6
分析結果のコメント
CVSS 値は System 権限でのコマンド実行という最悪のシナリオをもとに評価しています。多くの脆弱性では、影響の度合いがこれよりも大幅に小さく、CVSS 値も低くなりますので注意してください。

Copyright (c) 2000-2018 JPCERT/CC and IPA. All rights reserved

 ----------
★★★ その他!

★★★ 毎月のMicrosoft 製品の更新はされていますか???

※ 8月15日 Microsoft 製品の脆弱性対策について(2018年8月):
 https://www.ipa.go.jp/security/ciadr/vul/20180815-ms.html

★ 対策:1.脆弱性の解消 - 修正プログラムの適用
Microsoft 社から提供されている修正プログラムを適用して下さい。Windows Update の利用方法については以下のサイトを参照してください。

※ Windows Update の利用方法については以下のサイトを参照してください。
Windows Update 利用の手順:
 https://www.microsoft.com/ja-jp/safety/protect/musteps.aspx

★ その他:(以下にも留意・対策下さい!)
・Adobe Flash Player の脆弱性対策について(APSB18-25)(CVE-2018-12824等):
・Adobe Acrobat および Reader の脆弱性対策について(APSB18-29)(CVE-2018-12808等)
・Oracle Java の脆弱性対策について(CVE-2018-2938等)

 ----------
※ JPCERT コーディネーションセンター:
 https://www.jpcert.or.jp/
★ 今回の対処方法:
 https://jvn.jp/vu/JVNVU99991021/
※ IPA 独立行政法人 情報処理推進機構:
 https://www.ipa.go.jp/
 ----------

   (*ー‥ー*)」 イヨッ
掲載:2018年08月20日
 富士山に登る、山に登る登山靴、どの様な物がいいのと聞かれるが、昔なら運動靴のバスケットシューズで充分と答える。今はバスケットシューズも専門的に成り高価。

 なら、安価な登山靴はキャラバン、昔からあり日本製で日本人の足に合っている。自分はキャラバンの今ならFREERIDER HIGH(Maroon Hero)を勧める。先日見たら丁度メーカーの特売品も有った。昔はキヤラバンもバスケットシューズに毛の生えた様な物だったが、靴も進化した。

 登山、正直登りはズック靴でもいいが、下りには足首を充分に固めた靴が必要。また、富士山の下りは砂利道、靴に砂利が入らない様にスパッツなどの装備も有った方が良い。この靴なら、普通にアウトドアに使える。

※ 株式会社キャラバン:
 https://www.caravan-web.com/
※ FREERIDER HIGH(Maroon Hero)
 https://www.caravan-web.com/product/1400810/
 ----------
※ 富士山(フジサン)の気温:
 http://www.jma.go.jp/jp/amedas_h/today-50066.html
※ 山頂気温は北極圏並み - 富士山NET:
 https://www.fujisan-net.jp/data/article/1102.html
※ 富士山の気象|登山の前に必ず知っておくこと|:
 http://www.fujisan-climb.jp/weather/
※ 富士登山-そらのしたスタイル:
 http://www.soranoshita.net/blog/

   (*^‥^*)」 イヨッ
掲載:2018年08月20日
@ 基本、C:ドライブにはOS(Windows10)と必要最小限のソフトしかインストールしない。
A その他の使用するソフトは出来る限りPortableソフトを探し使用する(Portableソフトの置き場所D:ドライブ・ポータブルソフトはレジストリを汚さない)。探せば殆どのソフトが有る。
B ソフトのデーターは必ずD:ドライブに設定保管する。
C C:ドライブはインストールソフトの数倍の容量を常時確保する。
D ブラウザのエッジ・chrome等のインターネット履歴や一時ファイルは必要クッキーを除き毎回電源を切れば消去する(最近のネット環境やPCの処理能力からしてスピードは問題には成らない)。
E データーの消去は、ごみ箱を使うのでは無く、毎回出来れば完全消去する(復元は出来ないので注意は要するが・・・)。
F 本当に保管必要なデーターは別のUSB HDDにも保管(バックアップ)する。
G デスクトップにはデーターを置かないか、デスクトップ自体をD:ドライブに移設する。
H その他のデーターもD:ドライブに移設する。

 つまり、OSのWindows10が入ったシステムドライブ(C:ドライブ)を汚さず、容量を充分に確保していれば、PC動作が必要以上に遅く成ると言う事は無い。

 この方法で自分は何時も書く、「FMV-BIBLO NF/G50」2010年春モデルを未だ現役で使用している。因みに、このPCでは数百枚のRAW写真現像も固まらず処理可能である。

※ 今PCを買うなら自分ならこの様な機種を買う「腐ってもintel i3以上」!:
 http://m-jun.seesaa.net/article/459748833.html

   (*^‥^*)」 イヨッ

このブログの人気記事 (直近24時間)
    最 新 記 事